Prévention : Le phishing en entreprise, ou l’erreur érigée en art

En phishing, j’ai la double l’expérience : côté pirate et victime. Spécialiste en cyber-défense dans les Blue Teams, j’ai vu des ransomware fermer des écoles, des programmes malveillants mettre à mal des entreprises, et des données volées en vente sur le dark web. À chaque fois, tout a commencé par une campagne de phishing qui poussait les utilisateurs à cliquer sur un lien malveillant. 
Missionné au sein de Red Teams qui mettent les entreprises à l’épreuve, j’ai conçu des campagnes de phishing afin de sensibiliser les employés ; j’ai aussi validé des mesures techniques visant à endiguer le flot des messages de phishing et démontré les techniques de manipulation des pirates. Ce qui me surprend toujours, c’est la facilité à imiter ou contourner les sécurités. J’ai ainsi pu envoyer des emails en me faisant passer pour l’organisme légitime simplement en intervertissant des lettres ou en utilisant des caractères obscurs.

publicité

Dans ces tests, j’ai utilisé plusieurs fois les véritables domaines de messagerie de grandes organisations, et en l’absence de mesures de prévention des imitations, les messages ont été remis à leurs destinataires.Il n’en faut souvent pas plus pour convaincre les utilisateurs de cliquer sur les liens que j’ai créés, ce qui aboutit inévitablement à une compromission. 

Nous sommes en 2020 et nous mordons encore à l’hameçon. Pourquoi n’apprenons-nous pas de nos erreurs ?

Pour répondre à cette question, j’ai été amené à examiner de vrais messages en provenance de sources légitimes et établies, par exemple des sociétés de réseaux sociaux, des éditeurs de solutions de paiement et des banques. J’ai ainsi découvert une tendance inquiétante. Face au risque qu’un tiers bloque leur domaine de messagerie principal dans le cadre de la lutte contre les courriers indésirables, certaines entreprises utilisent un autre domaine pour l’envoi d’emails en nombre. Dans ce cas, l’usage est de publier cet autre domaine sur le site web de la société où les utilisateurs pourront vérifier l’émetteur et l’authenticité de l’email. 

Sur les 10 entreprises récemment étudiées, la moitié n’avait pas implémenté correctement de stratégie de prévention de phishing ou de gestion des identités de messagerie. Deux omettaient de mentionner le domaine d’expédition du message reçu. Deux autres encore affichaient une page d’erreur 404 sans aucune possibilité de valider le domaine. Enfin, dans la déclaration SPF de son enregistrement DNS, une société dépourvue de tous ces éléments autorisait toutes les adresses IPv4 du monde entier à envoyer des emails depuis son domaine. 

La plupart des manquements touchaient des organismes financiers. Dans un des cas, j’ai mis un quart d’heure à confirmer l’authenticité de l’email reçu. J’ai notamment dû déterminer le détenteur de l’adresse IP utilisée au début de l’acheminement, une agence affiliée mandatée pour l’envoi d’emails en toute légitimité. Comment un utilisateur lambda peut-il savoir si un email est licite ?

Nous voyons ici la preuve de l’échec de tout le secteur à s’emparer de ce problème, techniquement mais aussi du point de vue stratégique et managérial. Il n’existe aucune réponse unique et infaillible côté client. Beaucoup de logiciels antivirus s’y sont essayés et il y a eu quelques tentatives intéressantes de réduction des emails de phishing évident, mais, au final, tout repose sur les utilisateurs et leur sensibilisation, avec les conséquences que l’on connaît.

Il existe pourtant des solutions techniques éprouvées, mais elles dépendent entièrement de la volonté de l’expéditeur et sont inefficaces lorsqu’elles sont mal implémentées et utilisées sans autre contrôle. En outre, leur adoption par les grandes entreprises et multinationales est incroyablement lente.

Voici quelques questions à poser à l’équipe IT chargée des messageries :

  • Avons-nous un SPF pour TOUS nos domaines ? Est-il correct ? 
  • Est-ce que nous mandatons des tiers au sein du groupe pour envoyer des messages en notre nom ? Ont-ils un SPF ?
  • Avons-nous mis en œuvre DKIM sur TOUS les domaines d’expédition de nos emails ?
  • Avons-nous mis en œuvre DMARC sur TOUS les domaines d’expédition de nos emails ?
  • Avons-nous une stratégie de sécurité de la messagerie électronique ? Est-elle appliquée ?
  • Fournissons-nous à notre base d’utilisateurs externes un moyen de vérifier qu’un email est authentique ? Quel en est le fonctionnement ?

Si vous avez répondu par la négative à l’une de ces questions, c’est que vous contribuez au problème. Heureusement, la solution est à portée de main. De nombreux guides, publications et ressources vous aideront à nourrir votre réflexion et à mettre en œuvre les normes SPF, DKIM et DMARC. Tant que ces contrôles ne seront pas généralisés, le phishing subsistera et nous assisterons probablement à des attaques et à leurs conséquences toujours plus sophistiquées, plus nombreuses et plus violentes. 

Nous avons créé ce problème et nous pouvons commencer à y remédier avec les mécanismes de contrôle existants. La solution dépend rarement de produits propriétaires ou sous licence. Et malgré les promesses des uns et des autres, ne croyez pas qu’une solution universelle jaillira de l’IA, de l’apprentissage automatique ou de la blockchain. Si vous n’êtes pas absolument certain de la provenance d’un email, ne cliquez pas sur le lien !

Références utiles :

Leave a Reply

Your email address will not be published. Required fields are marked *